Вы используете устаревший браузер!

Страница может отображаться некорректно.

Наследники О. Бендера

Наследники О. Бендера

Другие выпуски этой рубрики (66)
  • добавить в избранное
    Добавить в закладки

Ловушка для невнимательных

Прочитали: 11703 Комментариев: 54 Рейтинг: 71

11 августа 2020

Мы уже рассказывали о том, как мошенники используют названия ресурсов, схожие с легальными (см., например, выпуск «Человеку свойственно ошиваться, или Куда ведут очепятки»). Скажем, как правильно: drweb.com или drwеb.com? Визуально разницы нет, но если мы введем второй вариант в адресную строку браузера, знакомый всем читателям сайт не откроется. И придумать подобные названия ресурсов можно, увы, легко, равно как и зарегистрировать их. Этим и пользуются мошенники, рассылая ссылки на сайты с несколько измененным адресом своим потенциальным жертвам.

Есть даже сервис, который ищет в сети все схожие по виду названия.

Называется этот прием тайпсквотингом:

Тайпскво́ттинг (англ. typosquattingtypo опечатка + cybersquatting) — регистрация доменных имён, близких по написанию с адресами популярных сайтов в расчёте на ошибку части пользователей.

Источник

Подмена может использоваться не только с доменами. В магазинах приложений и в свободном доступе – миллионы программ, и ошибиться, набирая нужное название, очень легко.

Компания ReversingLabs опубликовала результаты анализа применения тайпсквоттинга в репозитории RubyGems. В ходе исследования было выявлено более 700 пакетов, названия которых схожи с популярными пакетами и отличаются незначительными деталями, например, заменой похожих букв или использованием подчёркивания вместо тире.

И с понятным содержимым:

В более чем 400 пакетах были обнаружены компоненты, подозреваемые в совершении вредоносных действий.

Насколько пользователи невнимательны?

Пакет был загружен 2100 раз (нормальный пакет при этом был загружен 6496 раз, т.е. пользователи ошибались почти в 25% случаях)

Каждый четвертый не проверяет, какое название вбивает!

Интересно, что злоумышленники использовали для обхода антивирусов сокрытие кода и изображение (о такой технике мы тоже писали). Причем маскировка была минимальной:

Вредоносные пакеты включали в себя PNG-файл, в котором вместо изображения размещался исполняемый файл для платформы Windows.

При установке пакета файл png переименовывался в exe и запускался.

Источник

И не сказать, что случившееся – нечто новое. Быстрый поиск выдает новость за 2016 год:

Для оценки эффективности метода тайпсквоттинга в репозиториях PyPI (Python), Npmjs.com (Node.js) и rubygems.org (Ruby) было размещено 214 подставных пакетов, имена для которых были выбраны в соответствии с тремя основными критериями: опечатки в названии (например, coffe-script вместо coffee-script), незарегистрированные варианты имён из стандартной библиотеки (например, urllib2) и имена, вычисленные алгоритмами оценки схожести имён (например, req7est вместо request).

Результат превзошёл все ожидания - на сервере было зафиксировано 45334 запросов от 17289 уникальных хостов. Т.е. если бы метод был применён для организации атаки, то удалось бы захватить управление над более чем 17 тысячами компьютеров, чего более чем достаточно для развёртывания ботнета. Более того, в 43.6% случаев (на 8552 хостах) код был выполнен с правами администратора (!), позволяющими полностью контролировать операционную систему.

Источник

#адрес_сайта #Интернет #магазины_приложений #мошенничество #опечатки

Антивирусная правДА! рекомендует

  1. Будьте внимательны!
  2. Используйте антивирус. Разработчики часто пренебрегают защитой, считая, что они распознают угрозу. Приведенная выше статистика говорит об обратном.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: